in gesprek met Jan Matto en Wilco Pieterse
DORA is inmiddels geen onbekende meer voor financiële organisaties. De eerste rapportagemomenten liggen achter ons en veel instellingen hebben aangetoond dat zij aan de basisverplichtingen voldoen. Maar daarmee is de kous allesbehalve af.nOm scherper te krijgen wat DORA nú betekent – en wat er de komende jaren van organisaties wordt gevraagd – ging Kelly Dake in gesprek met Jan Matto, partner en Global Lead Cybersecurity & Data Protection bij Forvis Mazars, en Wilco Pieterse, Associate Director bij Protiviti en specialist op het gebied van DORA, NIS2 en de Cyber Resilience Act.
In dit interview delen zij hun visie op digitale weerbaarheid, bestuurlijke verantwoordelijkheid en waarom DORA veel meer is dan een compliance-oefening.
Cyberweerbaarheid is een boardverantwoordelijkheid geworden
Kelly trapt het gesprek af met een bredere observatie: organisaties worden overspoeld door nieuwe digitale wetgeving waaronder DORA, NIS2 en de opkomende Cyber Resilience Act. Wat is volgens de sprekers de grootste verschuiving die zij momenteel zien? Volgens Jan Matto is de boodschap van de wetgeving glashelder:
“Deze wetten onderstrepen dat de board verantwoordelijk is. Bestuurders zijn persoonlijk aansprakelijk en moeten aantoonbaar laten zien dat cyberrisico’s worden beheerst. Dat is voor veel organisaties echt een nieuwe realiteit.”
Cyberveiligheid is daarmee niet langer iets dat kan worden gedelegeerd. Het vraagt om betrokkenheid en inzicht tot op het hoogste niveau van de organisatie.
Van cybersecurity naar cyberweerbaarheid
Wilco Pieterse ziet daarnaast een belangrijke inhoudelijke verschuiving:
“We bewegen van traditionele cybersecurity naar cyber resilience. Je kunt je organisatie nog zo goed proberen af te schermen, maar 100% veiligheid bestaat niet. De vraag is niet óf het misgaat, maar hoe snel je kunt reageren en hoe je de impact klein houdt.”
Die weerbaarheid reikt verder dan de eigen organisatie. Door digitale afhankelijkheden kan een incident bij één partij grote gevolgen hebben voor klanten, leveranciers en zelfs hele sectoren. Jan vult aan:
“Cyberveiligheid is inmiddels een macro-economisch belang geworden. Als één organisatie omvalt, raakt dat vaak direct anderen. Dat is precies waarom deze wetgeving bestaat.”
De keten als risicofactor
Een belangrijk onderdeel van DORA is het inzichtelijk maken van leveranciers en derde partijen. Volgens Jan is dat geen toeval:
“De wetgever wil weten waar concentratierisico’s zitten. Als tien financiële instellingen hun IT bij dezelfde leverancier onderbrengen, ontstaat een hotspot. Gaat het daar mis, dan trek je mogelijk een groot deel van de sector mee.”
Ook Wilco ziet dat organisaties dit onderdeel vaak onderschatten:
“Leveranciersmanagement is enorm complex, zeker voor organisaties die veel IT hebben uitbesteed. Maar als je dit niet op orde krijgt, wordt meedoen in de keten simpelweg lastig.”
DORA staat niet op zichzelf
Tijdens het gesprek komt ook de samenhang met andere wetgeving uitgebreid aan bod. Jan schetst het grotere plaatje:
“NIS2 is de overkoepelende wetgeving, DORA is de sectorspecifieke uitwerking voor de financiële sector. Daarbovenop komt nog de Cyber Resilience Act, die juist kijkt naar digitale producten en diensten.”
Voor organisaties die in meerdere landen actief zijn of uiteenlopende activiteiten hebben, leidt dat tot complexe situaties.
“We zien organisaties die tegelijk aan DORA én NIS2 moeten voldoen,” zegt Wilco. “Dat vraagt om een geïntegreerde aanpak, anders raak je verstrikt in losse verplichtingen en verschillende toezichthouders.”
Rapporteren versus aantoonbaar effectief zijn
Kelly vraagt of bedrijven DORA inmiddels ‘onder controle’ hebben. Jan is daar genuanceerd over:
“De eerste implementatie ging bij veel financiële instellingen redelijk soepel, omdat ze al gewend waren aan toezicht. Maar rapporteren is pas het begin. De volgende stap is laten zien dat maatregelen in de praktijk ook écht werken.”
Volgens Wilco zit daar een belangrijk spanningsveld:
“Veel organisaties hebben processen en beleid goed beschreven, maar de effectiviteit in de IT zelf wordt nog te weinig getest. DORA brengt daar langzaam verandering in, bijvoorbeeld door eisen rondom dreigingsanalyse en testen.”
Digitale weerbaarheid als license to operate
Aan het einde van het gesprek kijkt Kelly vooruit. Wat betekent dit alles voor de komende jaren? Jan is duidelijk:
“Als je niet kunt aantonen dat je digitaal betrouwbaar bent, willen partijen simpelweg geen zaken meer met je doen. Rapportage over cyberrisico’s wordt net zo vanzelfsprekend als financiële verslaglegging.”
Digitale weerbaarheid wordt daarmee een onderdeel van vertrouwen, reputatie en continuïteit. Wilco sluit af met een praktisch advies:
“Wacht niet af. Breng in kaart welke wetgeving op je van toepassing is, doe een gap-analyse en maak een plan. DORA is geen eenmalig project, maar een structurele verandering in hoe je met digitale risico’s omgaat.”
Meer dan compliance
Wat uit het gesprek met Jan Matto en Wilco Pieterse duidelijk naar voren komt, is dat DORA en de daarnaast geldende digitale wetgeving geen administratieve exercitie is. Het is een kans om digitale weerbaarheid structureel te versterken. Voor de eigen organisatie én voor de stabiliteit van sectoren als geheel. Wie deze wetgeving alleen afvinkt, mist de essentie. Wie het serieus aanpakt, investeert in vertrouwen en toekomstbestendigheid.
